การเปิดใช้งานการรับรองความถูกต้องแบบสมัยใหม่หรือขั้นพื้นฐานสำหรับ Microsoft 365

การตรวจสอบสิทธิ์ที่ทันสมัย ถูกเปิดใช้งานโดยค่าเริ่มต้นสำหรับผู้เช่า Microsoft 365/Azure ใหม่ทั้งหมด โปรโตคอลการตรวจสอบสิทธิ์นี้มีความปลอดภัยมากกว่าการตรวจสอบสิทธิ์ขั้นพื้นฐาน . Microsoft วางแผนที่จะบล็อกการใช้การรับรองความถูกต้องพื้นฐานสำหรับไคลเอ็นต์ Microsoft 365 ทั้งหมดโดยสมบูรณ์โดยเริ่มตั้งแต่วันที่ 1 ตุลาคม 2021 ในบทความนี้ เราจะมาดูวิธีเปิดหรือปิดใช้งานการตรวจสอบสิทธิ์แบบสมัยใหม่และแบบพื้นฐานใน Microsoft 365

การตรวจสอบสิทธิ์สมัยใหม่กับการตรวจสอบสิทธิ์ขั้นพื้นฐาน

ปัจจุบัน Microsoft รองรับการรับรองความถูกต้องประเภทต่อไปนี้สำหรับ Office 365 (Microsoft 365):

• การตรวจสอบสิทธิ์พื้นฐาน – การรับรองความถูกต้องประเภทนี้คุ้นเคยกับผู้ใช้ Windows ทุกคน การตรวจสอบสิทธิ์ขั้นพื้นฐานจะดำเนินการผ่านหน้าต่างความปลอดภัยของ Windows แบบธรรมดาที่พร้อมท์ให้ใส่ข้อมูลประจำตัว (ชื่อผู้ใช้และรหัสผ่าน) และแจ้งให้คุณบันทึกรหัสผ่านของคุณไปยัง Windows Credential Manager ประเภทการตรวจสอบสิทธิ์นี้ไม่สนับสนุน MFA (การตรวจสอบสิทธิ์แบบหลายปัจจัย) และไม่มีประสิทธิภาพต่อการโจมตีแบบเดรัจฉาน แอปพลิเคชันจัดเก็บและใช้ชื่อผู้ใช้และรหัสผ่านอย่างชัดแจ้งสำหรับการตรวจสอบสิทธิ์
• การตรวจสอบสิทธิ์สมัยใหม่ ขึ้นอยู่กับ ADAL (Active Directory Authentication Library) และโปรโตคอล OAuth 2.0 แอปจะไม่จัดเก็บหรือใช้ข้อมูลรับรองผู้ใช้ และการตรวจสอบสิทธิ์จะขึ้นอยู่กับโทเค็นที่จำกัดเวลา Modern Auth รองรับปัจจัยการตรวจสอบสิทธิ์เพิ่มเติมรวมถึง MFA หน้าต่างสำหรับป้อนชื่อผู้ใช้และรหัสผ่านเมื่อดำเนินการรับรองความถูกต้องแบบสมัยใหม่จะมีลักษณะดังนี้ จะปรากฏขึ้นเมื่อเชื่อมต่อกับบริการของ Microsoft 365 หรือเชื่อมต่อกับ Azure (รวมถึงการเชื่อมต่อ PowerShell)

เข้าสู่ระบบการตรวจสอบสิทธิ์ขั้นพื้นฐานใน Azure AD

ก่อนเปิดใช้งานการตรวจสอบสิทธิ์แบบสมัยใหม่และปิดใช้งานการตรวจสอบสิทธิ์พื้นฐาน ให้ตรวจสอบว่าโปรโตคอลการตรวจสอบสิทธิ์ใดที่ผู้ใช้และแอป Microsoft 365 ของคุณใช้

1. เปิดพอร์ทัล Azure
2. ไปที่ Azure Active Directory -> บันทึกการลงชื่อเข้าใช้;
3. เลือกช่วงวันที่ 1 เดือนที่ผ่านมา;
4. เพิ่มตัวกรองตามฟิลด์ แอปไคลเอ็นต์;
5. เลือก ไคลเอ็นต์การตรวจสอบสิทธิ์แบบเดิมทั้งหมด สำหรับตัวกรองนี้

วิธีนี้จะช่วยให้คุณค้นหาผู้ใช้และแอปพลิเคชันที่ยังคงใช้การตรวจสอบสิทธิ์พื้นฐานอยู่ คุณต้องย้ายแอปพลิเคชันที่พบไปยังโปรโตคอล Modern Auth ในกรณีของฉัน เหตุการณ์ส่วนใหญ่เชื่อมโยงกับไคลเอนต์อีเมลดั้งเดิมบนสมาร์ทโฟน จำเป็นต้องย้ายไปยังแอป MS Outlook

Microsoft ปิดใช้งานการตรวจสอบสิทธิ์พื้นฐานโดยอัตโนมัติสำหรับผู้เช่าที่ไม่ได้ใช้

จะเปิดใช้งานการตรวจสอบสิทธิ์สมัยใหม่สำหรับผู้เช่า Microsoft 365 ได้อย่างไร

คุณสามารถเปิดใช้งาน Modern Authentication ผ่าน Microsoft 365 Admin Center

1. เปิดพอร์ทัลผู้ดูแลระบบ M365 https://admin.microsoft.com;
2. ไปที่การตั้งค่า -> การตั้งค่าองค์กร -> การตรวจสอบสิทธิ์แบบสมัยใหม่
3. เปิดใช้งานตัวเลือก เปิดใช้การตรวจสอบสิทธิ์แบบสมัยใหม่สำหรับ Outlook 2013 สำหรับ Windows และใหม่กว่า;
4. บันทึกการเปลี่ยนแปลง

ดังที่เราได้กล่าวไปแล้ว สำหรับผู้เช่า Office 365/Azure ใหม่ การตรวจสอบสิทธิ์ขั้นพื้นฐานจะถูกปิดใช้งานตามค่าเริ่มต้นสำหรับแอปทั้งหมด ในกรณีนี้ คำเตือนจะแสดงในส่วนนี้:

Your organization has security defaults enabled, which means modern authentication to ‎Exchange Online‎ is required, and basic authentication connections are blocked. You must turn off security defaults in the ‎Azure‎ portal before you can change any settings here.

คุณสามารถเปิดใช้งานการสนับสนุนการตรวจสอบสิทธิ์พื้นฐานสำหรับผู้เช่าจากพอร์ทัล Azure (Azure Active Directory -> Properties -> Manage Security defaults -> Enable Security defaults =ไม่)

สังเกตตัวเลือกต่างๆ ใน ​​อนุญาตการเข้าถึงโปรโตคอลการตรวจสอบสิทธิ์พื้นฐาน . ต่อไปนี้คือแอปพลิเคชันต่างๆ ที่คุณสามารถเปิดใช้งานการตรวจสอบสิทธิ์พื้นฐานได้

• ไคลเอนต์ Outlook
• Exchange ActiveSync (EAS)
• ค้นหาอัตโนมัติ
• IMAP4
• POP3
• SMTP ที่ตรวจสอบสิทธิ์แล้ว (ตัวอย่างการตรวจสอบสิทธิ์ SMTP จาก telnet)
• Exchange Online PowerShell — (ไม่รองรับการตรวจสอบสิทธิ์ขั้นพื้นฐานสำหรับโมดูล EXOv2 PowerShell รุ่นใหม่)

ปิดใช้งานการตรวจสอบสิทธิ์ขั้นพื้นฐานสำหรับแอปและโปรโตคอลทั้งหมดที่ไม่ต้องการอย่างแน่นอน

ถ้าคุณมีนโยบายการรับรองความถูกต้องที่กำหนดค่าไว้ในผู้เช่า Office 365 ของคุณ คุณสามารถแสดงการตั้งค่าปัจจุบันและโปรโตคอลที่ได้รับอนุญาตให้ใช้การรับรองความถูกต้องพื้นฐาน ใช้คำสั่ง PowerShell ต่อไปนี้:

Get-AuthenticationPolicy

ในกรณีของเรา เรามีนโยบายเดียวและ BasicAuth ถูกปิดใช้งานสำหรับแอปทั้งหมด

AllowBasicAuthActiveSync : False
AllowBasicAuthAutodiscover : False
AllowBasicAuthImap : False
AllowBasicAuthMapi : False
AllowBasicAuthOfflineAddressBook : False
AllowBasicAuthOutlookService : False
AllowBasicAuthPop : False
AllowBasicAuthReportingWebServices : False
AllowBasicAuthRest : False
AllowBasicAuthRpc : False
AllowBasicAuthSmtp : False
AllowBasicAuthWebServices : False
AllowBasicAuthPowershell : False

เพื่อความปลอดภัย คุณสามารถสร้างนโยบายแยกต่างหากพร้อมสิทธิ์การตรวจสอบสิทธิ์พื้นฐานที่แตกต่างกันสำหรับโปรโตคอลเฉพาะ และกำหนดให้กับผู้ใช้โดยใช้แอปพลิเคชันรุ่นเก่า ในตัวอย่างนี้ เราจะอนุญาตให้ผู้ใช้เชื่อมต่อกับ Exchange Online ผ่านเซสชัน PowerShell ระยะไกลด้วยการตรวจสอบสิทธิ์พื้นฐาน:

Set-AuthenticationPolicy -Identity "BasicAuth_Allow_PoSh" -AllowBasicAuthPowershell:$true
Set-User -Identity k.muller -AuthenticationPolicy "BasicAuth_Allow_PoSh"

และนโยบายเริ่มต้นจะบล็อกโปรโตคอลการตรวจสอบสิทธิ์ดั้งเดิม:

New-AuthenticationPolicy -Name "BasicAuth_Block"
Set-OrganizationConfig -DefaultAuthenticationPolicy BasicAuth_Block

นอกจากนี้ โปรดทราบว่ายังมี OAuth2ClientProfileEnabled . อื่น ตัวเลือกในการตั้งค่าองค์กร ซึ่งกำหนดว่า Modern Auth เปิดใช้งานสำหรับผู้เช่าหรือไม่:

Get-OrganizationConfig | ft OAuth*

ถ้า OAuth2ClientProfileEnabled = False หมายความว่าการพิสูจน์ตัวตนสมัยใหม่ถูกปิดใช้งาน

การตรวจสอบสิทธิ์สมัยใหม่ใน Outlook 365/2019/2016/2013/2010

โปรดทราบการสนับสนุนเฉพาะสำหรับการรับรองความถูกต้องสมัยใหม่ใน Outlook เวอร์ชันต่างๆ:

• Outlook 2010 และรุ่นก่อนหน้า – ไม่รองรับ Modern Auth ถ้าการตรวจสอบสิทธิ์พื้นฐานถูกปิดใช้งานในการตั้งค่าผู้เช่า Outlook เวอร์ชันเหล่านี้จะไม่สามารถเชื่อมต่อกับกล่องจดหมาย Exchange Online บน Microsoft 365
• Outlook 2013 – เพื่อรองรับ OAuth คุณต้องตั้งค่าพารามิเตอร์รีจิสทรีสองตัวภายใต้คีย์ HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Common\Identity (EnableADAL = 1 และ Version = 1;
• Outlook 365, 2019, 2016 - การรับรองความถูกต้องที่ทันสมัยได้รับการสนับสนุนโดยค่าเริ่มต้น หากต้องการใช้ Modern Auth ก่อนเสมอ ให้ตั้งค่า AlwaysUseMSOAuthForAutoDiscover = 1 ภายใต้คีย์ reg HKEY_CURRENT_USER\Software\Microsoft\Exchange (หากไม่ได้เปิดใช้งานตัวเลือกนี้ Outlook อาจแจ้งรหัสผ่านเพื่อเชื่อมต่ออย่างต่อเนื่อง)

คุณสามารถตรวจสอบว่าไคลเอนต์ Outlook ใช้การรับรองความถูกต้องแบบสมัยใหม่เพื่อเชื่อมต่อกับกล่องจดหมาย Office 365 กด Ctrl . ค้างไว้ และคลิกที่ไอคอน Outlook ในถาด ตรวจสอบให้แน่ใจว่า ผู้ถือ* ระบุไว้ใน Authn ฟิลด์ในสถานะการเชื่อมต่อ Outlook ซึ่งหมายความว่า Outlook กำลังใช้การรับรองความถูกต้องที่ทันสมัย